目次
はじめに
SOCアナリストの仕事は「アラートを監視して対応する」ことが中心ですが、その基盤となるのが ツール です。
本記事では、SOCで欠かせない3つの主要ツール ― SIEM、EDR、SOAR ― についてわかりやすく解説します。
SIEM(Security Information and Event Management)
役割
- 各システムから収集した ログを一元管理・相関分析 する仕組み
- FW、プロキシ、Active Directory、クラウドサービスなどのログをまとめて監視
- 「異常なパターン」をルールや機械学習で検知
代表的な製品
- Splunk Enterprise Security
- Microsoft Sentinel
- Rapid7 InsightIDR
- IBM QRadar
SOCでの使い方
- 不審なログイン(Impossible Travel)を検知
- 攻撃のタイムラインを再現
- アラートの優先度を付けて一次切り分け
EDR(Endpoint Detection and Response)
役割
- PCやサーバなどの エンドポイントにおける挙動監視と防御
- マルウェア感染や横展開を検知し、端末を隔離できる
- SOCアナリストが 「感染源の特定」や「封じ込め」 を行う際に必須
代表的な製品
- CrowdStrike Falcon
- Microsoft Defender for Endpoint
- SentinelOne
- Trend Micro Vision One
SOCでの使い方
- 端末上で怪しいプロセスが実行された場合に隔離
- 攻撃者が横展開を試みるRDP/Pass-the-Hashの痕跡を検知
- IOC(ハッシュ・IP・ドメイン)をもとに検索して感染範囲を調査
SOAR(Security Orchestration, Automation and Response)
役割
- インシデント対応を自動化・効率化 する仕組み
- SIEMやEDRと連携し、定型作業を自動で実行
- SOCチームの「手作業による対応時間」を大幅に削減
代表的な製品
- Palo Alto Cortex XSOAR
- Splunk SOAR (旧 Phantom)
- IBM Resilient
- Rapid7 InsightConnect
SOCでの使い方
- フィッシングメール検知時に「メール隔離 → 送信元ブロック → IOC登録」を自動実行
- アラートが来たら自動で脅威情報と突合し、信頼性の高いものだけエスカレーション
- レポート作成や通知を自動化して、分析者は高度な調査に集中
まとめ
SOCアナリストの現場では、
- SIEM → 「ログを集めて可視化する」
- EDR → 「端末での攻撃を検知・封じ込める」
- SOAR → 「対応フローを自動化する」
という役割分担で運用されています。
これらを理解し、実際にどのように運用されているかをイメージできると、SOCアナリストとしてのスキルアップにつながります。
コメント